درود مهمان گرامی!   ورود   )^(   ثبت نام زمان کنونی: ۲-۴-۱۳۹۷, ۰۳:۰۳ صبح



ارسال پاسخ 
 
امتیاز موضوع:
  • 0 رأی - میانگین امتیازات: 0
  • 1
  • 2
  • 3
  • 4
  • 5

حالت موضوعی | حالت خطی
بررسی ویروس رایانه ای sality (بخش اول)
نویسنده پیام
کاربر 10 ستاره
*
آفلاین
ارسال‌ها: 9,439
تاریخ عضویت: ۷ مرداد ۱۳۸۸
اعتبار: 19
سپاس ها 0
سپاس شده 611 بار در 611 ارسال
ارسال: #1
بررسی ویروس رایانه ای sality (بخش اول)


این ویروس
در چند ماه گذشته جزءشایع ترین ویروسها بوده است و انواع مختلفی دارد که
با نام های مختلفی توسط برنامه های آنتی ویروس شناسایی می شود


نسخه
های جدید آنتی ویروس Nod32 و همچین Kaspersky ممکن است ویروس فوق با
نامهای Malas یا Sality.nar و یا P2p.Worm.Generic شناسایی کنند

این ویروس در نسخه های جدید با نام W32/Nahkos توسط آنتی ویروس پاندا
شناسایی می شود . آنتی ویروس Avira Antivir این ویروس را با نام
Worm.Malas.C می شناسد.

ویروس کش مک آفی(McAfee) این ویروس را با عنوان W32/Bindo.worm می شناسد .

آنتی ویروس سوفوس با نام Troj/Yusufali-A و آنتی‌ویروس كوئیك‌هیل با
نام‌های “Win32.Malas.c” و “Win32.Malas.A” و “Trojan.Win32.VB.zu” این
ویروس را شناسایی می کند
.



غیرفعال کردن
Alt+Ctrl+Delete یا همان تسک منیجر Task Manager ، از کار افتادن Regedit
( رجیستری ویندوز) ،همچنین محدود کردن دسترسی به سایتهای آنتی ویروس ،
بستن آنتی ویروس و همچنین خراب کردن فایلهای اجرایی سیستم مختصری از اعمال
این ویروس است .


شیوه آلوده سازی ویرس Sality
این ویروس پس از اجرا ، فایل آلوده ای را با نامی تصادفی و پسوند SYS در مسیر زیر قرار می دهد :
%System%\drivers

این کامپوننت آلوده ، در واقع یک Device Driver میباشد که مانند یک
rootkit در سطح کرنل سیستم عمل می کند و به ویروس اجازه می دهد که خودش و
عملکردش را در سیستم مخفی کند .


از آنجایی که این شیوه تنها در سیستمهای مبتنی بر ویندوز ان تی (Windows
NT-based operating systems) قابل اجراست، لذا ویندوزهای NT/2000/XP/2003
در معرض آلودگی این ویروس هستند .
پراسسی
SCVHOST.exe پراسس اصلی ویروس می باشد . توجه کنید که نام SCVHOST.exe
بسیار شبیه فایل سیستمی SVCHOST.exe میباشد وتنها دو حرف C و V جابجا شده
اند .


در واقع وجود یکی از پراسسهای زیر در سربرگ Processes ممکن است یکی از نشانه های آلودگی سیستم به ویروس Sality باشد.

blastclnnn.exe



hinhem.scr



SCVHOST.exe

این ویروس متن زیر را در فایل SYSTem.ini موجود در شاخه ویندوز اضافه می کند:

[MCIDRV_VER]

DEVICEMB=
همچنین کلید رجیستری زیر را در رجیستری ویندوز ایجاد می کند که ترکیبی است از نام کامپیوتر و یک عدد سه رقمی تصادفی :

<HKCU\Software\<3 random numbers

مثلا :

HKCU\Software\EliassMaleki498

در این کلید ویروس متغیرهای مورد استفاده خود را ایجاد می کند . در
یکی از سیستمهای آلوده من مسیر رجیستری زیر را که توسط ویروس ایجاد شده
بود یافتم :

HKCU\Software\ACS-IR914

که ACS-IR نام کامپیوتر و عدد 914 همان عدد سه رقمی تصادفی بود.

این
ویروس همچنین کلیه درایوهای محلی و یا شبکه ای و یا قابل حمل مانند فلش
دیسکهای متصل به سیستم را یافته و خود را در آنها کپی می کند .


این
ویروس همانند بسیاری از ویروسهای جدید با استفاده از ایجاد فایل
Autorun.inf در درایوها و حافظه های فلش از این روش برای تکثیر خود بهره
میگیرد .

وجود فایل Autorun.inf در هر نوع درایوی موجب می
شود به محض دابل کلیک کردن بر روی درایو دستورات موجود در Autorun.inf
اجرا شود که این دستورات ، دستوراتی شامل اجرای مجدد ویروس و تکثیر مجدد
در کلیه درایوهاست .

بارگذاری ویروسها و بد افزارهای دیگر

این ویروس با اتصال به دامینها و سایتهای زیر ، بدافزارهای دیگری را نیز دانلود کرده و به سیستم آلوده منتقل می کند:

89.119.67.154

bjerm.mass.hc.ru

klkjwre77638dfqwieuoi888.info

kukutrustnet777.info

kukutrustnet777888.info

kukutrustnet888.info

kukutrustnet987.info

lpbmx.ru

mattfoll.eu.interia.pl

st1.dist.su.lt

www.klkjwre9fqwieluoi.info
غیر فعال کردن Task Manager و Registry Editor و Show Hidden Files
این ویروس ضمن از کار انداختن تسک منیجر Task Manager یا همان
Alt+Ctrl+Delete موجب از کار افتادن ویرایشگر رجیستری (Regedit) نیز
میگردد .در صورت آلوده شدن سیستم به این ویروس Folder Option نیز در
مواقعی حذف می شود و یا در صورت وجود ، عملکرد نمایش فایهای مخفی و سیستمی
نیز غیرفعال میگردد .

بالا نیامدن سیستم در حالت Safe Mode

این ویروس موجب می شود سیستم در حالت سیف مود (Safe Mode) نیز بالا نیاید و پس از چند لحظه ری استارت شود !

تخریب و آلوده کردن فایلهای SCR و EXE

از بدترین اعمالی که این ویروس انجام می دهد خراب کردن فایلهای اجرایی
سیستم با پسوند exe و SCR میباشد بطوریکه اغلب فایلهای exe و SCR موجود در
درایو C را آلوده کردن و کدهایی را در آنها تزریق می کند و در نتیجه
فایهای فوق نیز بعنوان ویروس Sality شناخته می شوند و بکلی خراب می شوند
.همچنین بسیاری از فایلهای اجرایی درایوهای دیگر را بطور تصادفی آلوده می
کند .

حذف فایلها و بستن پراسسهای خاص

این ویروس همچنین ممکن است فایلهای با پسوندهای زیر را حذف کند :

*.AVC

*.VDB

جالب اینجاست این ویروس به شما اجازه نصب برنامه های آنتی ویروس را می دهد اما به محض اجرای آنتی ویروس آن را می بندد!





خاتمه اجرای سرویسهای خاصی در ویندوز



Terminates Services



جلوگیری از دسترسی و اتصال به وب سایتهای خاص





این ویروس دسترسی سیستم را به سایتهای اینترنتی خاصی را محدود می کند . این عمل را از طریق الحاق یک فایل SYS که وظیفه انجام IP Traffic Filter Device Driver را دارد ، انجام می دهد .

لذا کلیه سایتها و دامینتهایی که اسامی آنها دارای کلمات زیر میباشد بلوکه شده و دسترسی سیستم آلوده به آنها محدود میگردد



upload_virus

sality-remov

virusinfo.

cureit.

drweb.

onlinescan.

spywareinfo.

ewido.

virusscan.

windowsecurity.

spywareguide.

bitdefender.

pandasoftware.

agnmitum.

virustotal.

sophos.

trendmicro.

etrust.com

symantec.

mcafee.

f-secure.

eset.com

kaspersky


نکته قابل توجه :


به دلیل این که انواع مختلفی از این ویروس
وجود دارد ، ممکن است اسامی بعضی از فایلها و یا مسیرهای ذکر شده متفاوت
باشد اما بسیاری از عملکردها، مانند از کارفتادن تسک منیجر و رجیستری در
کلیه نسخه های این ویروس مشترک است .



موضوع‌های مرتبط با این موضوع...
آموزش حذف پسورد تنظیم شده بر روی آنتی ویروس NOD32
آموزش پاکسازی سیستم از ویروس ها بدون آنتی ویروس
تهیه نسخه پشتیبان از آپدیت های آنتی ویروس McAfee
نرم افزار آنتی ویروس(Anti Viruse) چیست؟
آشنایی با انواع ویروس های رایانه ای
نکاتی مهم در مورد ویروس های کامپیوتری
نحوه از بین بردن نرم افزار های جاسوسی از رایانه
Keylogger ها- ابزاری برای جاسوسی از رایانه
روش هایی برای محافظت از کامپیوترهای سازمان ها و شرکت ها در برابر ویروس ها
معرفی و آشنایی با ویروس هاس کامپیوتری
نینجا شمشیری است میان خیزران....سرعت و دقت قدرت نینجاست.....نا امیدی مرگ نینجاست
۱۱-۶-۱۳۸۸ ۱۲:۲۳ صبح
مشاهده‌ی وب‌سایت کاربر یافتن تمامی ارسال‌های این کاربر نقل قول این ارسال در یک پاسخ

ارسال پاسخ 

کاربرانِ درحال بازدید از این موضوع: 1 مهمان
پرش به انجمن:


موضوع‌های مرتبط با این موضوع...
موضوع: نویسنده پاسخ: بازدید: آخرین ارسال
  چگونه می توان از اصل بودن برند دوربین مدار بسته اطمینان حاصل کرد؟ reza.arta 0 643 ۶-۲-۱۳۹۴ ۱۰:۳۰ عصر
آخرین ارسال: reza.arta
  دستگاه های دزدگیر بی سیم reza.arta 0 737 ۲۶-۱-۱۳۹۴ ۰۵:۴۰ عصر
آخرین ارسال: reza.arta
  آموزش کامل و جامع اسکریپت نویسی هک کوکی و حساب بانکی (جدید) maryammoradii 0 1,162 ۵-۱-۱۳۹۴ ۰۱:۱۰ عصر
آخرین ارسال: maryammoradii
  باگ امنیتی در وایبر! sahar.malekiyan70 0 916 ۷-۱۱-۱۳۹۳ ۰۵:۱۹ عصر
آخرین ارسال: sahar.malekiyan70
  ۷ مرحله بالا بردن امنیت شبکه‌های Wi – Fi نگار313 0 789 ۲-۱۱-۱۳۹۳ ۰۶:۱۷ عصر
آخرین ارسال: نگار313


درباره ایران فروم

تالار گفتگوی ایرانیان از سال 1387 هجری شمسی فعالیت خود را آغاز کرده و هم اکنون با بیش از 850.000 کاربر ثابت بزرگ ترین تالار گفتگوی فارسی زبان در جهان می باشد.

برای سفارش تبلیغات در ایران فروم کلیک کنید

لینک دوستان

لینک دوستان

لینک دوستان